Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров

УПРАВЛЕНИЕ 
НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА

УПРАВЛЕНИЕ 
НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА

Москва, 2018

С.А. ПЕТРЕНКО, А.В. БЕЛЯЕВ

Информационные технологии для инженеров

Серия «БизнесПро»

Ваш бизнес будет продолжаться
Ваш бизнес будет продолжаться

Издание рекомендовано в качестве учебного пособия 
для студентов технических вузов

2-е издание (электронное)

УДК 338.2 
ББК 65.050.2

Л61

  Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии для инженеров [Электронный 
ресурс] : учебное пособие / С. А. Петренко, А. В. Беляев. — 2-е изд. 
(эл.). — Электрон. текстовые дан. (1 файл pdf : 402 с.). — М. : ДМК 
Пресс, 2018. — (БизнесПро). — Систем. требования: Adobe Reader 
XI либо Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-059-0
В книге подробно рассмотрены возможные постановки задач управления 
непрерывностью бизнеса (BCM) и аварийного восстановления (DRM) в отечественных компаниях. Последовательно изложены все основные вопросы разработки и внедрения соответствующих корпоративных программ управления 
непрерывностью бизнеса (ECP). Рассмотрены особенности модели жизненного цикла BCM британского института BCI (www.thebci.org), а также практики 
обеспечения непрерывности бизнеса и аварийного восстановления институтов 
США DRI (www.drii.org) и SANS (www.sans.org). Приведены рекомендации 
международных стандартов BS25999 (PAS 56), ASIS SPC.1-2009, ISO/DIS 
22399:2008, ISO/IEC 22301:2008, NIST SP800-34, NFPA 1600, AS/NZS 5050 
(HB 292:2006), SS540:2009 (TR19:2004), SI 24001:2007, ISO/IEC 27002:2005 
(BS ISO/IEC 17799:2005) (14 раздел), COBIT 5.0, ITIL V3 и MOF 4.0 в части 
BCM и др.
В настоящем издании подробно рассмотрены возможные методики ведения 
проектов в области BCM, разработки и совершенствования корпоративных 
программ управления непрерывностью бизнеса (ECP). Отражена отечественная специфика обеспечения непрерывности бизнеса и аварийного восстановления. На основе практического опыта работы авторов приведены примеры 
анализа рисков (RA) и оценивания воздействия на бизнес (BIA), разработки 
стратегий непрерывности бизнеса, планов BCP&DRP и соответствующих планов тестирования.
Книга будет полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), внутренним и внешним аудиторам (CISA), 
менеджерам высшего эшелона компаний, ответственных за обеспечение непрерывности бизнеса, а также преподавателям и слушателям программ MBA, 
CIO и CSO, студентам и аспирантам соответствующих специальностей.

ISBN 978-5-93700-059-0 
 ©  ДМК Пресс, 2011

Петренко, Сергей Анатольевич.

Л61

Деривативное электронное издание на основе печатного издания: Управление непрерывностью бизнеса. Ваш бизнес будет продолжаться. Информационные технологии 
для инженеров : учебное пособие / С. А. Петренко, А. В. Беляев. — М. : ДМК Пресс, 
2011. — (БизнесПро) — 400 с. — ISBN 978-5-94074-624-9.

УДК 338.2 
ББК 65.050.2

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя 
возмещения убытков или выплаты компенсации.

Посвящается 20-летию ГК «АйТи»

Предисловие президента ГК АйТи Тагира Яппарова........................................9
Предисловие директора Business Continuity Institute (BCI)
Линдона Бирда.......................................................................................................11
Предисловие партнера Ernst&Young Николая Самодаева.................................14
Введение................................................................................................................16
Глава 1. АКТУАЛЬНОСТЬ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ 

БИЗНЕСА...............................................................................................23

1.1. Мотивация и преимущества BCM.......................................................................23

1.1.1. Примеры инцидентов...........................................................................24
1.1.2. Основные мотивы.................................................................................27
1.1.3. Экономическая целесообразность......................................................33
1.1.4. Дополнительные преимущества..........................................................34
1.2. Основные компоненты программы ECP..............................................................35
1.2.1. История вопроса..................................................................................36
1.2.2. Содержание BCM.................................................................................37
1.2.3. Практика BCM......................................................................................39
 1.3. Постановка задачи построения ВСР....................................................................48
1.3.1. Цель и задачи работы..........................................................................48
1.3.2. Ожидаемый эффект..............................................................................49
1.3.3. Требования к разработке....................................................................50
1.3.4. Требования к составу работ.................................................................53
1.3.5. Требования к отчетным материалам...................................................54
1.3.6. Продолжительность работ...................................................................55
1.3.7. Область реализации............................................................................55
1.3.8. Дополнительные требования..............................................................55
1.3.9. Квалификационные требования к Исполнителю.....................................56
 1.4. Анализ технологий.......................................................................................56
1.4.1. Классификация уровня поставленной задачи....................................57
1.4.2. Общие подходы и направления...........................................................58
1.4.3. Инфраструктура ЦОД...........................................................................60
1.4.4. Мультисервисная сеть.........................................................................68
1.4.5. Помещения и инженерные системы....................................................73
1.4.6. Обеспечение непрерывности функционирования 
программного обеспечения..................................................................76
1.4.7. Системы мониторинга и управления...................................................79
Глава 2. ЛУЧШИЕ ПРАКТИКИ УПРАВЛЕНИЯ НЕПРЕРЫВНОСТЬЮ 
БИЗНЕСА...............................................................................................82
2.1. Практика BCI...............................................................................................84

Содержание

2.2

2.3

2.4

2.5

2.6

2.7

2.8

2.9

2.1

Содержание

....9

.11
.14
.16

.22
.22
.24
.27
.33
.34
.35
.36
.37
.39
..48
.48
.49
.50
.53
.54
.55
.55
.55
.56
.56
.57
.58
.60
.68
.73

.76
.79

.82
.84

е

2.1.1. Характеристика деятельности...........................................................84
2.1.2. Основные достижения.......................................................................85
2.2. Практика института DRII..............................................................................88
2.2.1. Направления деятельности...............................................................88
2.2.2. Модель DRII.......................................................................................88
2.3. Практика SANS............................................................................................91
2.3.1. Инициация проекта...........................................................................92
2.3.2. Анализ рисков– Risk Analysis (RA).....................................................94
2.3.3. Анализ воздействия на бизнес – Business Impact Analysis (BIA).............96
2.3.4. Разработка планов BCP&DRP............................................................97
2.3.5. Тестирование планов BCP&DRP........................................................99
2.3.6. Сопровождение планов BCP&DRP.....................................................101
2.3.7.Утверждение и внедрение планов BCP&DRP.....................................102
2.4. Стандарт BS25999 (PAS 56)........................................................................102
2.4.1. Управление программой BCM...........................................................104
2.4.2. Анализ требований к программе BCM..............................................105
2.4.3. Определение стратегии BCM.............................................................107
2.4.4. Разработка и реализация планов BCM.............................................108
2.4.5. Поддержка и сопровождение программы BCM................................110
2.4.6. Формирование культуры BCM в организации..................................111
2.5. Стандарт AS/NZS 5050 (HB 292:2006).......................................................111
2.5.1. Рекомендации стандарта..................................................................112
2.5.2. Особенности BCM..............................................................................114
2.6. Практика управления рисками....................................................................118
2.6.1. Стандарт NIST SP 800-30...................................................................121
2.6.2. Методология OCTAVE..........................................................................123
2.6.3. Жизненный цикл MG-2......................................................................126
2.6.4. Стандарт CobIT...................................................................................127
2.6.5. Модель зрелости SA-CMM.................................................................127
2.7. Практика описания бизнес-процессов.......................................................129
2.7.1. Практика моделирования процессов...............................................131
2.7.2. Методология NGOSS.........................................................................133
2.8. Стандарт COBIT............................................................................................141
2.8.1. Характеристика стандарта................................................................142
2.8.2. Процесс DS4......................................................................................144
2.8.3. Уровни зрелости DS4.........................................................................148
2.9. Библиотека ITIL...........................................................................................150
2.9.1. Инициация процесса ITSCM..............................................................153
2.9.2. Анализ требований и выработка стратегии ITSCM...........................154
2.9.3. Внедрение ITSCM...............................................................................156
2.9.4. Операционное управление...............................................................159
2.9.5. Дополнительные вопросы.................................................................160
2.10. Стандарт ISO/IEC 27002:2005 (BS ISO/IEC 17799:2005)........................162
2.10.1. Аспекты управления непрерывностью бизнеса.............................163
2.10.2. Взаимосвязь непрерывности и безопасности...............................164

Содержание
6

2.10.3. Непрерывность бизнеса и оценка рисков......................................165
2.10.4. Разработка и внедрение Плана непрерывности бизнеса..............165
2.10.5. Структура Плана непрерывности бизнеса......................................166
2.10.6. Поддержка и сопровождение Плана непрерывности бизнеса......167
2.11. Отечественная практика BCM...................................................................170
2.11.1. Развитие практики BCM..................................................................170
2.11.2. Инициативы Банка России..............................................................170
Глава 3. УПРАВЛЕНИЕ ПРОЕКТАМИ В ОБЛАСТИ ВСМ....................................183
3.1. Практика Accenture......................................................................................183
3.1.1. Определение рисков.........................................................................186
3.1.2. Разработки стратегии BCM...............................................................193
3.1.3. Внедрение стратегии BCM.................................................................200
3.2. Практика Ernst&Young.................................................................................203
3.2.1. Оценка зрелости программы ECP......................................................211
3.2.2. Разработка стратегии BCM...............................................................219
3.2.3. Внедрение стратегии BCM................................................................222
3.3. Практика IBM..............................................................................................223
3.3.1. Методы выполнения работ................................................................224
3.3.2. Подход IBM BCRS...............................................................................226
3.3.3. Услуги IBM BCRS................................................................................230
3.3.4. Пример выбора решения..................................................................239
3.3.5. Пример постановки задачи...............................................................247
3.4. Практика Hewlett-Packard............................................................................253
3.4.1. Оценка текущего состояния ECP........................................................256
3.4.2. Разработка стратегии BCM...............................................................264
3.4.5. Внедрение стратегии BCM................................................................266
3.5. Практика EMC.............................................................................................269
3.5.1. Виды работ........................................................................................269
3.5.2. Методология EMC.............................................................................273
3.6. Практика Microsoft......................................................................................278
3.6.1. Характеристика подхода...................................................................280
3.6.2. Функция ITCM....................................................................................284
Глава 4. ПРИМЕРЫ РАЗРАБОТКИ ПРОГРАММЫ ECP.....................................286
4.1. Описание объекта.......................................................................................286
4.1.1. Текущая архитектура объекта...........................................................287
4.1.2. Целевая архитектура объекта...........................................................287
4.2. Пример оценки воздействия на бизнес, BIA..............................................289
4.2.1. Основные цели и задачи BIA.............................................................289
4.2.2. Методика BIA.....................................................................................289
4.2.3. Определение ИТ-услуг.......................................................................290
4.2.4. Определение ИТ-ресурсов................................................................290
4.2.5. Анализ рисков и сценариев нарушения непрерывности сервиса........292
4.2.6. Определение зависимых бизнес-сервисов......................................302

4.3

4.4

4.5

За
Пр
Пр

Пр

Пр

Содержание

4.2.7. Определение требований к параметрам доступности 

ИТ-ресурсов........................................................................................ 302

4.3. Пример стратегии непрерывности бизнеса...............................................302
4.3.1. Заявление Руководства (Политика в области непрерывности 

бизнеса).............................................................................................. 305

4.3.2. Методика выработки стратегии обеспечения непрерывности........305
4.3.3. Методика расчета временных показателей процесса 

восстановления ИТ-ресурса............................................................... 305

4.3.4. Перечень общих технических решений для ИТ-ресурсов.................310
4.3.5. Описание частных технических решений для ИТ-ресурсов..............311
4.3.6. Анализ вариантов стратегий непрерывности для ИТ-ресурсов.......314
4.3.7. Оценка состояния процесса обеспечения непрерывности 

для ИТ-сервисов................................................................................. 320

4.3.8. Описание частных технических решений для ИТ-сервисов..............322
4.3.9. Анализ вариантов стратегий размещения серверной площадки....322
4.3.10. Анализ вариантов стратегий непрерывности для ИТ-сервисов.....324
4.3.11. Описание частных технических решений обеспечения 

непрерывности бизнеса....................................................................  324

4.3.12. Анализ вариантов стратегий непрерывности бизнеса..................326
4.3.13. Принятые решения..........................................................................326
4.4. Пример разработки Плана непрерывности бизнеса, BCP..........................327
4.4.1. Цель и подход к созданию плана обеспечения непрерывности.......327
4.4.2. Задачи плана обеспечения непрерывности.....................................328
4.4.3. Состав плана BCP...............................................................................328
4.4.4. Управление планом BCP....................................................................329
4.4.5. Аварийно-восстановительная команда............................................330
4.4.6. Резервные центры управления.........................................................336
4.4.7. Мероприятия по обеспечению непрерывности................................337
4.5. Пример Плана тестирования BCP................................................................343
4.5.1. Цель тестирования............................................................................343
4.5.2. Задачи тестирования........................................................................343
4.5.3. Виды тестов плана BCP......................................................................343
4.5.4. Программа тестирования..................................................................345
4.5.5. Методика процесса тестирования....................................................345
4.5.6. Пример настольного теста плана BCP...............................................347
4.5.7. Пример частичного теста плана BCP418..........................................349
Заключение......................................................................................................353
Приложение 1. Непрерывность бизнеса и акт Сарбэйнса-Оксли...................357
Приложение 2. План действий Мининформсвязи России
 в кризисных ситуациях....................................................................371
Приложение 3. Перечень возможных инструкций для надлежащего 
обеспечения непрерывностью бизнеса..........................................376

Приложение 4. Пример представления контактных данных для BCM............377

Содержание
8

Приложение 4.1. АВК: контактная информация и лист 
ознакомления.............................................................................377
Приложение 4.2. Контактная информация ключевых служб 
Компании.................................................................................379
Приложение 4.3. Контактная информация поставщиков 
оборудования и услуг...............................................................380

Список литературы..........................................................................................382

Предисловие директора 
ГК «АйТи» Тагира Яппарова

Предисловие директора 
ГК «АйТи» Тагира Яппарова 

Дорогие читатели!

Я уверен, что книга, которую вы держите в своих руках,  будет для вас очень 
важной и полезной. Ведь вопросы обеспечения безопасности и непрерывности 
бизнеса в сложных, часто чрезвычайных ситуациях, могут коснуться практически каждого. Крупные техногенные аварии последних лет стали отправной 
точкой для пересмотра существующих методологий и практик управления непрерывностью бизнеса. 
Я уделяю большое внимание теме обеспечения непрерывности бизнеса и в 
рамках руководства группой компаний АйТи и в рамках работ по многочисленным ИТ-проектам для наших корпоративных заказчиков. На сегодня вопросам 
обеспечения непрерывности бизнеса в русскоязычной специализированной 
литературе уделяется явно недостаточное внимание, поэтому выход в свет 
настоящей книги представляет собой весьма значимое явление в развитии 
отечественной практики в этой профессиональной области. 
Книга написана на основе многолетнего практического опыта работы авторов в области непрерывности бизнеса. Благодаря удачно выбранному методическому подходу им удалось найти ту форму изложения материала, которая 
без ущерба для понимания существа дела позволила найти разумный баланс 
между постановками задач в терминах целей и задач бизнеса и описанием возможных инженерных задач и технических решений для аварийного восстановления и возобновления бизнеса в чрезвычайных ситуациях. Авторам удалось 
провести читателя к намеченной цели кратчайшим путем, минуя дебри описания многочисленных составляющих процесса управления непрерывностью 
бизнеса, так часто оказывающиеся непреодолимым барьером для начинающих 
специалистов в области BCM&DRM, недостаточно подготовленных в области 
бизнес-ориентированного рассмотрения ИТ-сервисов. Подобное изложение 
дает ясную картину надлежащей организации программы обеспечения непрерывности бизнеса, ECP и четкое представление о планах BCP&DRP.
Книга выгодно отличается от ранее изданных переводных работ, как методом изложения, так и набором рассматриваемых вопросов. Систематичность 
изложения принципов и основных методических приемов создания и внедрения корпоративных программ обеспечения непрерывности бизнеса, ECP 
достигается практическим применением модели жизненного цикла BCM в 
соответствии с рекомендациями британского стандарта BS25999 (PAS 56). 
Это позволяет авторам с должной степенью методической строгости и в то 
же время в доступной форме рассматривать вопросы надлежащей органи

Предисловие
10

Как
рад
нед
мию
не 
так
сту
в Е
ров
вза
В

зна
стр
сер
ном
биз
В

нят
Пр
сер
про
гих
сли
заб
вне
лиш
неб
B

упр
рис
чен
или
воп
вли
пут
К

тях
рис

зации менеджмента непрерывностью бизнеса и аварийного восстановления 
в чрезвычайных ситуациях. По существу в книге представлены и обобщены 
основные задачи разработки, внедрения и поддержки корпоративной программы обеспечения непрерывности бизнеса, а также возможные пути решения 
упомянутых задач. В этой связи читателям предлагается большое количество 
постановок задач и примеров реализации проектов в области BCM.
Особенно следует подчеркнуть значимость и глубину проработки, а также 
новизну для читателя таких принципиальных вопросов, как оценка воздействия 
на бизнес, BIA и управление рисками прерывания бизнеса, RM. Так, Главы 2 и 
3, в которых представлен сравнительный анализ лучших практик управления 
непрерывностью бизнеса, а также описаны основные компоненты корпоративной программы ECP, являются примером методического и практического 
изучения сторон BCM и дают представление о возможной форме методологии обеспечения непрерывности бизнеса в средних и крупных ИТ-зависимых 
компаниях.
Несомненным положительным качеством книги является хорошая методическая проработка, последовательность и простота изложения, большое 
количество примеров и иллюстраций, наличие обширной библиографии. Все 
это помогает читателю в самостоятельном изучении материала, а наличие 
практических рекомендаций, например, вариант разработки корпоративной 
программы ECP в 4 Главе, способствует быстрому закреплению полученных 
знаний. 
Книга, безусловно, заинтересует специалистов, связанных с разработкой 
и реализацией современных программ обеспечения непрерывности бизнеса, 
ECP, руководителей проектов, аудиторов, а также менеджеров, отвечающих за 
непрерывность бизнеса. Она может служить прекрасным базовым пособием 
для студентов и аспирантов, обучающихся по общим программам менеджмента, в том числе программам MBA и CIO, CEO, CSO, CFO, ориентированных 
на практическое применение вопросов обеспечения непрерывности бизнеса, 
а также будет полезна преподавателям и бизнес тренерам при подготовке 
лекций, семинаров и практических занятий. 

Тагир Яппаров
Президент ГК АйТи

Предисловие директора 
Business Continuity Institute (ВСI) 
Линдона Бирда

Предисловие директора 
Business Continuity Institute (BCI) 
Линдона Бирда

Как Технический директор Института Непрерывности Бизнеса (BCI) я очень 
рад внести свой вклад в появление этой очень своевременной книги. Совсем 
недавно все мы испытали на себе первую в этом столетии глобальную пандемию гриппа, пережили глобальный экономический кризис, равного которому 
не было на памяти большинства живущих, и только приходим к пониманию 
таких новых глобальных угроз как энергетическая безопасность, киберпреступность, изменения климата. Беспрецендентное нарушение авиасообщения 
в Европе в результате извержения вулкана в Исландии снова продемонстрировало, как уязвимы мы к неожиданным угрозам и опасностям, и насколько 
взаимосвязанными стали процессы в современном мире. 
Во многих странах климатические условия стали более суровыми, вызывая 
значительные нарушения в критических компонентах национальной инфраструктуры. Многие страны европейской экономической зоны испытывают 
серьезные финансовые проблемы, приводящие к акциям протеста и серьезному риску общественной безопасности, а, следовательно, и непрерывности 
бизнеса.
В этой ситуации вопросы обеспечения непрерывности бизнеса были восприняты международными и национальными компаниями с большой готовностью. 
При этом большинство именно небольших и средних предприятий находятся в 
серьезной зависимости от различных угроз, которые могут прервать их бизнеспроцессы и особенно движение денежных средств. Однако, руководство многих из них считает, что процесс управления непрерывностью бизнеса (BCM) 
слишком сложен для масштабов их деятельности. Это является серьезным 
заблуждением – угрозы, которым подвержена любая организация, схожи 
вне зависимости от масштабов и рода её деятельности, отличие заключается 
лишь в том, что объем ресурсов и способность реагировать на инциденты у 
небольших предприятий гораздо ниже.
BCI считает, что многие допущения, на которых строится традиционное 
управление рисками, имеют определенные недостатки. Попытки определения 
рисков и оценки вероятности их появления не имеют столь уж важного значения. Наиболее существенно то, какие последствия для бизнеса вызовет тот 
или иной отказ, а не относительная вероятность этого отказа. При изучении 
вопросов непрерывности бизнеса мы выделяем семь областей возможного 
влияния инцидента на бизнес: технологии, средства и помещения, люди, репутация, цепочки поставок, клиенты, ликвидность и репутация.
Концентрация внимания на возможных последствиях потерь в данных областях в противоположность детализированному изучению каждого конкретного 
риска позволяет повысить устойчивость организации, что в свою очередь ведет 

Предисловие
12

к повышению производительности и эффективности. Управление непрерывностью бизнеса – это единственное направление менеджмента, позволяющее 
обеспечить высокий уровень защиты и устойчивости предприятия, однако, оно 
неразрывно связано с вопросами безопасности, управления в чрезвычайных 
ситуациях и организацией коммуникаций в кризисных ситуациях. Многие аспекты BCM всегда присутствовали в организациях под другими названиями. 
И сейчас важно соединить их в единой структуре процесса управления непрерывностью с целью внесения ясности и формирования общего направления в 
этом вопросе, который зачастую воспринимается ошибочно.
В BCI мы всегда пропагандируем комплексный подход к вопросам BCM, 
охватывающий всё предприятие в целом, и в самой последней версии наших 
флагманских публикаций Good Practice Guidelines мы делаем очень сильный 
акцент на этом требовании. Мы рады появлению серьезных книг, журналов 
и публикаций в области BCM на любых языках и в любых частях земного 
шара.
Институт непрерывности бизнеса (BCI) был образован в 1994 году с целью предоставления возможности получения рекомендаций и поддержки от 
практикующих специалистов в области непрерывности бизнеса. В настоящее 
время он объединяет свыше 5000 представителей из 90 стран мира. И хотя 
наибольшая группа участников представлена по-прежнему Великобританией, 
значительное количество представителей присутствует в других странах Европы, в Соединенных Штатах, Канаде, Австралии, Японии, Индии и Юго-Восточной Азии. В России также существует представительство BCI, и мы стремимся способствовать тому, чтобы всё большее количество профессионалов 
из России имело возможность присоединиться к этому многонациональному 
сообществу специалистов-практиков в области BCM.
С момента основания BCI широко занимается вопросами продвижения 
стандартов профессиональной компетенции и деловой этики при разработке 
и проведении мероприятий в области непрерывности бизнеса.
Политика и направления деятельности BCI определяются выборным органом – Советом. Все профессиональные участники Института могут участвовать в выборах и голосовать за Членов Совета на ежегодных выборах. 
Члены Совета избираются на трехлетний срок и не могут находиться на этой 
должности более 6 лет подряд. BCI является некоммерческой организацией 
с общей миссией:
Распространение науки и искусства управления непрерывностью бизнеса 
по всему миру 
Профессиональное членство в BCI является статусом с международным 
признанием, т.к. данный сертификат демонстрирует обладание его владельцем 
квалификации в области BCM, соответствующей высокому стандарту.
Общими целями и задачами BCI являются:
формирование, поддержка и содействие распространению стандартов этических норм процесса BCM, включая поставку товаров и услуг;
формирование и развитие высококачественного процесса обучения и личного развития для практикующих профессионалов всех уровней;

13
Предисловие

определение уровня квалификации, требуемого для специалистов в области 
непрерывности бизнеса;
предоставление системы сертификации международного уровня;
инициирование, разработка, оценка и обсуждение мнений, стандартов и 
передовой практики в области BCM в международных масштабах
влияние по вопросам BCM на ключевых фигур и других заинтересованных 
лиц по всему миру. 
Начав с малого, BCI является на сегодняшний день безусловным лидером 
во всех вопросах, связанных с BCM, и представляет собой профессиональное сообщество для практикующих специалистов, желающих развивать свои 
знания вплоть до самого высокого уровня. Мы надеемся увидеть множество 
специалистов из России, узнавших о такой области управления как BCM, и 
выбравших в дальнейшем именно BCI с целью дальнейшего совершенствования своих знаний и возможностей для профессионального роста. Мы рады 
приветствовать данную книгу как важный шаг на этом пути.

FBCI Линдон Бирд

Lyndon Bird FBCI
Technical & International Director
Business Continuity Institute

Предисловие партнера 
Ernst and Young 
Николая Самодаева

Предисловие партнера 
Ernst and Young 
Николая Самодаева

Возможно, у вас в руках самая важная книга, которую когда-либо читали. 
Знания, которые для вас тщательно отобрали и систематизировали авторы 
(Member BCI) позволят защитить ваш привычный образ жизни, перспективы 
развития бизнеса и даже здоровье и благополучие родных и близких.
Иногда происходят чрезвычайные события, которые вынуждают нас пересмотреть многие наши взгляды на уже привычные вещи и сложившиеся 
практики поведения. Примером подобного события стали атаки террористов 
11 сентября 2001 года. Картина этой катастрофы всегда будет стоять перед 
нашими глазами. Эти атаки не только унесли человеческие жизни, но также 
имели далеко идущие последствия для более чем 400 компаний, располагавшихся в World Trade Center. Это и подобные события стали своего рода 
толчком для пересмотра существующих методологий и практик управления 
непрерывностью бизнеса. Наступил так называемый момент истины – либо 
готовиться и выживать в условиях чрезвычайных ситуациях или сдать позиции и уступить жизненным обстоятельствам. Здесь каждый выбирает на свое 
усмотрение, я же говорю в таких ситуациях: не надо сдаваться, надеяться на 
лучшее, но готовиться к худшему.
Как мне известно, вопросы обеспечения непрерывности бизнеса в русскоязычной литературе отражены недостаточно. Поэтому выход в свет настоящей 
книги – явление желаемое и далеко не ординарное. 
Прошло два года, как в апреле 2008 года в немецком курорте Гармиш Партенкирхен на Втором международном форуме «Партнерство государства, бизнеса и гражданского общества при обеспечении информационной безопасности» меня познакомили с проектом намечавшейся книги. Я рад, что российские 
коллеги успешно реализовали свой проект и привнесли достойный вклад в 
развитие практик управления непрерывностью бизнеса.  
Книга написана на основе положительного практического опыта работы 
авторов в области BCM. Благодаря удачно выбранному методическому подходу им удалось найти ту форму изложения материала, которая без ущерба 
для понимания существа дела позволила найти разумный баланс между постановками задач в терминах целей и задач бизнеса и описанием возможных 
инженерных задач и технических решений для аварийного восстановления и 
возобновления бизнеса в чрезвычайных ситуациях. Авторам удалось провести 
читателя к намеченной цели кратчайшим путем, минуя дебри описания многочисленных составляющих процесса управления непрерывностью бизнеса, 
так часто оказывающиеся непреодолимым барьером для начинающих специалистов в области BCM&DRM, недостаточно подготовленных в области 

Предисловие

бизнес ориентированного рассмотрения ИТ-сервисов. Подобное изложение 
дает ясную картину надлежащей организации программы обеспечения непрерывности бизнеса, ECP и четкое представление о планах BCP&DRP.
Книга выгодно отличается от ранее изданных англоязычных изданий как 
методом изложения, так и набором рассматриваемых вопросов. Систематичность изложения принципов и основных методических приемов создания и 
внедрения корпоративных программ обеспечения непрерывности бизнеса, 
ECP достигается практическим применением модели жизненного цикла BCM 
в соответствии с рекомендациями британского стандарта BS25999 (PAS 56). 
Это позволяет авторам с должной степенью методической строгости и в то 
же время в доступной форме рассматривать вопросы надлежащей организации менеджмента непрерывностью бизнеса и аварийного восстановления 
в чрезвычайных ситуациях. По существу в книге представлены и обобщены 
основные задачи разработки, внедрения и поддержки корпоративной программы обеспечения непрерывности бизнеса, а также возможные пути решения 
упомянутых задач. В этой связи читателям предлагается большое количество 
постановок задач и примеров реализации проектов в области BCM.
Особенно следует подчеркнуть значимость и глубину проработки, а также 
новизну для читателя таких принципиальных вопросов, как оценка воздействия 
на бизнес, BIA и управление рисками прерывания бизнеса, RM. Так, Главы 2 и 
3, в которых представлен сравнительный анализ лучших практик управления 
непрерывностью бизнеса, а также описаны основные компоненты корпоративной программы ECP, являются примером методического и практического 
изучения сторон BCM и дают представление о возможной форме методологии обеспечения непрерывности бизнеса в средних и крупных ИТ-зависимых 
компаниях.
Несомненным положительным качеством книги является ее учебный характер, что проявляется в хорошей методической проработке, последовательности и простоте изложения, большим количеством примеров и иллюстраций, 
наличии обширной библиографии; весьма полезен пример разработки корпоративной программы ECP в 4 Главе. 
Книга безусловно заинтересует специалистов, связанных с разработкой и 
реализацией современных программ обеспечения непрерывности бизнеса, 
ECP, – руководителей проектов, аудиторов, а также менеджеров по непрерывности и доступности. Она может служить прекрасным базовым пособием для 
студентов и аспирантов, обучающихся по общим программам менеджмента, 
в том числе программам MBA и CIO, CEO, CSO, CFO, ориентированных на 
практическое применение вопросов обеспечения непрерывности бизнеса, а 
также будет полезна преподавателям и бизнес-тренерам при подготовке лекций, семинаров и практических занятий. 

Николай Самодаев
Партнер Ernst and Yonng

“Тот, кто не закладывает фундамент изначально, может 
огромными усилиями сделать это затем... Но с большой 
сложностью для архитектора и опасностью для строения”. 

Пикколо Макиавелли,  XV век

Понятие «управление непрерывностью бизнеса» (BCM–Business Continuity 
Management) появилось сравнительно недавно и сегодня вызывает постоянный интерес у топ-менеджеров отечественных компаний. Примерно с 1988 
года в ряде высокотехнологичных стран мира, главным образом в Великобритании, США, Австралии и Японии, проводятся ежегодные слушания и совещания специально созданных комитетов и комиссий по вопросам управления 
непрерывностью бизнеса. Подготовлено более десятка различных национальных стандартов и спецификаций, посвященных управлению непрерывностью бизнеса, среди которых наибольшую известность приобрели: BS25999 
(PAS 56), ASIS SPC.1-2009, ISO/DIS 22399:2008, ISO/IEC 22301:2008, 
NIST SP800-34, NFPA 1600, CSA Z1600, AS/NZS 5050 (HB 292:2006), 
SS540:2009 (TR19:2004), SI 24001:2007, ISO/IEC 27002:2005 (BS ISO/
IEC 17799:2005) (14 раздел), High Level Principles for Business Continuity 
(2006), COBIT, ITIL и MOF в части BCM и др. 
В настоящее время управление непрерывностью бизнеса представляет собой одно из наиболее актуальных и динамично развивающихся направлений 
стратегического и оперативного менеджмента современного предприятия. Актуальность этого направления для каждой отечественной компании объясняется необходимостью обеспечить выживание и сохранение своего бизнеса в 
чрезвычайных ситуациях. Под термином управление непрерывностью бизнеса 
обычно понимается системный процесс оценки последствий возникших чрезвычайных ситуаций и принятия надлежащих решений по сохранению бизнеса 
компании. Поэтому основной целью соответствующих корпоративных программ управления непрерывностью бизнеса (ECP – Enterprise Continuity 
Program) является минимизация риска потери бизнеса в случае его прерывания и продолжение деятельности компании в чрезвычайных ситуациях.  
В России практика разработки и внедрения корпоративных программ ECP 
только зарождается. В лучшую сторону здесь выделяются инициативы Банка 
России, который на основе рекомендаций 14 раздела ISO/IEC 27002:2005 
(BS ISO/IEC 17799:2005) подготовил соответствующий раздел 8.11 СТО 
БР ИББС-1.0-2008, а затем на основе документа Базельского комитета по 
банковскому надзору (High Level Principles for Business Continuity) – Пункт 

Введение

Введение

3.7 Положения Банка России от 16 декабря 2003 г. №242-П "Об организации 
внутреннего контроля в кредитных организациях и банковских группах" (обновлен в соответствии с Указанием от 5 марта 2009 г. №2194-У “О внесении 
изменений в Положение Банка России от 16 декабря 2003 г. №242-П). 
В тоже время в Европе и США внедрение и поддержка упомянутых корпоративных программ идет полным ходом, а в некоторых государственных 
и коммерческих структурах вопросам управления непрерывностью бизнеса 
уделяется самое пристальное внимание. Например, федеральные департаменты США осуществляют планирование непрерывности своей деятельности 
в соответствии с утвержденными директивами СООР. В финансовой области 
вопросы обеспечения непрерывности бизнеса американских компаний регулируются рекомендациями законов Gramm-Leach-Bliley, The Expedited 
Funds Availability, а также рекомендациями стандарта SAS 78/94. В области 
здравоохранения руководящим документом в части BCM является HIPAA. 
Кроме того, для большинства компаний поставщиков услуг первой необходимости (электроэнергия, вода, газ, связь и пр.) при использовании процедур 
непрерывности бизнеса предусмотрены определенные льготы со стороны государства. Дело в том, что непрерывность деятельности этих компаний играет 
важную роль в обеспечении непрерывности функционирования различных федеральных организаций и структур (больниц, полиции, пожарных, школ и правительственных учреждений), а также крупных коммерческих структур (банков, финансовых организаций, страховых компаний, Интернет-провайдеров и 
пр.). На западе наиболее активными пользователями Планов непрерывности 
бизнеса (BCP – Business Continuity Plan) являются различные финансовые 
институты и организации, предприятия сырьевой и нефтеперерабатывающей 
промышленности, авиакомпании, телекоммуникационные компании и пр. Для 
многих из них еще свежи в памяти недавние трагические события, такие как 
террористические атаки в сентябре 2001 года в Нью-Йорке на World Trade 
Center и отключения электроэнергии в Северо-восточной части США и Юговосточной части Канады в 2003-2009 гг. Эти события убедительно показали, 
что только те компании, которые своевременно воспользовались рекомендациями по обеспечению непрерывности бизнеса, смогли избежать крупных 
финансовых потерь и сохранить свой бизнес. Остальные же компании понесли 
существенные финансовые потери и некоторые даже потеряли свой бизнес. 
Поэтому компании постоянно совершенствуют свои Планы непрерывности 
бизнеса (Business Continuity Plan) и его различные производные: аварийный 
план (Business Crash Plan), чрезвычайный план (Business Disaster Plan), 
антитерростический план, антибомбовый план, план продолжения 
(Business Contingency Plan), план восстановления (Business Recovery 
Plan), антикризисный план и пр.
Для отечественных компаний вопросы обеспечения непрерывности бизнеса 
сегодня также актуальны и своевременны. В России вероятность техногенных 
и природных катастроф достаточно высока, спектр угроз безопасности бизнеса 
постоянно растет, чрезвычайные ситуации возникают, чуть ли не ежедневно. 
Например, взрывы на крупнейшей угольной шахте в России «Распадская» 89 мая 2010 года, атаки террористов в Москве и Дагестане весной 2010 года,